Professional Documents
Culture Documents
Vrste Enkripcija I Zaštita Bežičnog Mrežnog Sustava
Vrste Enkripcija I Zaštita Bežičnog Mrežnog Sustava
Kremer
Darijan
DHCP DNS FTP HTTP IMAP4 IRC MIME POP3 SIP SMTP SNMP SSH TELNET TLS/SSL BGP RPC RTP RTCP SDP SOAP
4. Prijenosni sloj
Wi-Fi, Wireless-Fidelity (IEEE 802.11) je beina mrea gdje se 1. Fiziki sloj podaci imeu dva ili vie Bluetooth RF Fiziki Ethernet nivo raunara prenose pomou radio ISDN Modemi RS232 SONET/SDH frekvencija (RF) i odgovarajuih antena. Najee se koristi u LAN USB Wi-Fi mreama (WLAN), ali se u posljednje vrijeme sve vie nudi i beini pristup WAN mrei - internetu. WiFi je brand Wi-Fi Alianse koja propisuje standarde i izdaje certifikate za sve Wi-Fi ureaje. Wi-Fi je 1991 godine izumila NCR Korporacija/AT&T u Nieuwegeinu, Nizozemska. Prva mrea se zvala WaveLAN i radila je na brzinama od 1 do 2 Mbit/s. Ocem WiFi-a se smatra Vic Hayes iji je tim osmislio standarde za Wi-Fi kao to su IEEE 802.11b, 802.11a i 802.11g.
ATM Bluetooth DTM Ethernet FDDI Frame relay GPRS Modemi PPP Wi-Fi
Nain rada
Wi-Fi mree rade uz pomo veoma jednostavne radio tehnologije, jedina razlika je to to se radio signali pretvaraju u nule i jedinice. Slanje podataka preko radia nije novina jer se i Morzeov kod binarno prenosio bez ica, no RF tehnologija je mnogo unaprijeena od vremena Morzeovog koda, tako da je opseg informacija koje je mogue poslati pomou radio frekvencija neuporediv. Upravo je WiFi prvi iskoristio dobru propusnost i jednostavnost radio signala. WiFi radiji alju signale na frekvencijama 2.4 GHz (802.11b i 802.11g standardi) i 5 GHz (802.11a), gdje se koriste mnogo naprednije tehnike kodiranja kao to su OFDM (orthogonal frequency-division multiplexing) i CCK (Complementary Code Keying) pomou kojih se ostvaruju mnogo vee brzine prijenosa podataka samo uz pomo radio valova. Razlog to se ove frekvencije koriste jest to su ostale neiskoritene od strane raznih armija ali i ostalih korisnika koje koriste zasebne frekvencije za komuniciranje. Sva radio tehnologija se nalazi u WIFi karticama koje ugraujemo u raunar (neki noviji laptopi kartice imaju ve ugraene), i to je praktino sve to treba za beino umreavanje. Zbog toga se beino umreavanje smatra jednim od najjednostavnijih trenutno u ponudi, a dodatni razlog je to uklanja potrebu za kablovima i ostalim mrenim ureajima. Jedino to
2
korisniku preostaje je da se prikopa na tzv. hotspot, odnosno vorite gdje se spajaju ostali korisnici. Obino se radi o manjoj kutiji u kojoj se nalazi WiFi radio koji komunicira sa ostalim korisnicima, i najee je to vorite prikopano na Internet. Takva vorita se ve mogu vidjeti u razvijenim gradovima na nekim prometnim mjestima kao to su parkovi ili aerodromi, tako da je mogue imati beini pristup internetu uz laptop. Ponekad se dogodi mijeanje signala na 2.4 GHz frekvencijama, najee sa beinim telefonima i Bluetooth ureajima koji koriste istu frekvenciju.
MAC adresa
U raunarskim mreama Media Acces Control adresa ili jednostavno MAC adresa je jedinstven oznaiva ili klju koji se nalazi u skoro svim mrenim ureajima. Veina protokola iz drugog OSI sloja koristi jedno od tri mjesta koje nadgleda IEE: MAC-48, EUI-48 i EUI-64, koji su dizajnirani da budu globalno jedinstveni.
Beino umreavanje
Primjer jednostavne WiFi LAN mree koja moe ukljuivati obini raunar, laptop, printer, WiFi router, i u isto vrijeme biti prikljuen na internet putem nekog modema.
Beino (en. Wireless) umreavanje je vjerovatno najjednostavniji nain umreavanja, nudi srednju brzinu, ne zahtijeva dodatne kablove, ali je i relativno skuplji od ostalih naina umreavanja, iako cijena WiFi ureaja konstantno pada. Beino umreavanje je najjednjostavnije uz WiFi tehnologiju, gdje nam je samo potrebna WiFi kartica (interna (PCI i PCMCIA) ili vanjska (USB)) u dva ili vie raunara da bi se isti umreili. Obino u kartice doe integrisana antena koja je dovoljna za manje mree, no mogue je koristiti i bolje, vanjske antene koje pojaavaju signal. Za prikljuivanje na neku mreu potreban je tzv. Hotspot, odnosno vorite na koji se spajaju svi ostali korisnici. Ako je mrea osigurana ona e traiti WEP ili noviji WPA (2) klju, a ako je slobodna onda nema nikakvih ogranienja za spajanje. Svako moe biti hotspot, jedino umjesto obine kartice je potrebno kupiti Wireless Acces Point koji nudi pokrivenost od oko 30 metara, dok je uz razne pojaavae mogue bitno proiriti pokrivenost. Najskuplja varijanta, ali ona najbolja, je uzeti Wireless Access Point Router koji sadri prikljuak za DSL modem, Router, Ethernet Hub, Firewall i Access Point. Uz sve to mogue na samo taj ureaj prikljuiti jednu Ethernet mreu na koju e biti prikljueni korisnici sa WiFi karticama, te svi zajedno imati pristup internetu putem DSL modema. Problem kod beinih WiFi mrea je to mogu biti nesigurne, pogotovu starije mree sa WEP provjerom koja je nesigurnija od WPA i WPA 2 enkripcije podataka. Osim toga WiFi ureaji troe malo vie struje od standardnih ureaja za raunarske mree.
Sigurnost
Za razliku od ianih mrea gdje se pristup moe ograniiti fiziki, kod beinih mrea temeljnih na Wi-Fi standardu je mnogo tea kontrola i nadgledanje korisnika. Praktino, na beinu mreu se moe spojiti bilo ko ima WiFi karticu i neku vrstu antene. Rjeenje je u enkripciji podataka, a veina Pristupnih taaka ima ugraenu enkripciju. Prva generacija enkripcije WEP se pokazala kao veoma lakom za probiti, dok se novije WPA i WPA2 smatraju dosta sigurnim, uz odgovarajuu ifru.
Vrste enkripcija
Ad-hoc beine mree (IBSS) koje se sastoje od klijentskih maina bez access point-a i one koriste IBSS ID (Independent Basic Service Set Identifier) Infrastrukturne mree koje ukljuuju access point (BSS ili ESS)koriste BSS ID ili ESS ID (E za Extended).
SSID na beinim posluiteljima mogu biti podeeni manualno, unoenjem SSID u mrene postavke, ili automatski, ostavljajui SSID neodreenim ili praznim. Network administrator esto koristi javni SSID, koji je podeen na access pointu i broadcast-a svim beinim ureajima u dohvatu.
U stvari, mnogi sigurnosni strunjaci smatraju da iskljuivanje SSID broadcast- a je sigurnosni propust. Access pointovi moda vie ne broadcast-aju SSID ali svaki klijent koji ima podeenu mreu da se automatski spaja sada alje pakete sa zahtjevom za konekciju zajedno sa mrenim SSID pokuavajui locirati i spojiti se na mreu.
Danas, neki beini access point-ovi iskljuuju automatski SSID broadcast mogunost u pokuaju da unaprijede sigurnost vae mree. Napredni beini access point-ovi podravaju broadcasting multiple SSIDs, dozvoljavajui kreiranje Virtual Access Points particioniranje jednog fizikog access pointa u nekoliko logikih access point-ova. Gdje svaki od njih moe imati razliite postavke sigurnosti i mree. SSID Client Isolation zabranjuje beinim klijentima u istom subnet-u da komuniciraju direktno jedan sa drugim i na taj nain zaobilaze firewall.
Encryption detalji
WEP je ukljuen kao zatita u originalnom IEEE 802.11 standardu ratificiranog u studenom 1999. WEP koristi stream kodiranje RC4 za privatnost i CRC-32 checksum za integritet.
Standard 64-bit WEP koristi 40 bit key (klju) (znan kao WEP-40), koji koristi 24-bit inicijalizator vektora (IV) kako bi oformio RC4 traffic key (klju). U to vrijeme originalni WEP standard se uglavnom koristio. U.S. vlada ograniila je veliinu kljua. Kada su restrikcije maknute, svi vei proizvoai su implementirali produeni 128-bit WEP protokol koristei 104-bit key (klju) veliinu (WEP104). 128-bit WEP key (klju) je gotovo uvijek unoen od strane korisnika kao string od 26 Hexadecimalnih (Hex) znakova (0-9 i A-F). Svaki znak predstavlja 4 bita od key (klju). 4 26 = 104 bita; dodajui 24-bita IV donosi nam, to zovemo "128-bit WEP key (klju)". A 256-bit WEP system je dostupan od nekih vendora. Sa gore navedenim sistemom, 24 bita od toga je za I.V., ostavljajui 232 svarnih bitova za zatitu. Ovo se tipino unosi sa 58 Hexadecimalnih znakova. (58 4 = 232 bits) + 24 I.V. bits = 256 bita od WEP zatite. Key (klju) veliina nije jedino sigurnosno ogranienje u WEP-u. Krakiranje dueg key-a (klju) zahtjeva presretanje vie paketa, ali postoje aktivni napadi koji stimuliraju neeljen promet. Postoje i druge slabosti u WEP-u, ukljuujui mogunost od IV kolizije i promijenjenih paketa kojima ne pomae nimalo dulji key (klju). Npr stream cipher attack.
Autentifikacija
Dvije metode autentifikacije se mogu koristiti kod WEP-a: Open System authentication i Shared Key (klju) authentication. Kada govorimo o WEP autentifikaciji, govorimo o infrastrukturnom modu ( izmeu WLAN klijenta i Access Pointa), ali diskusija se moe primijeniti i na Ad-Hoc mode. Kod autentifikacije otvorenog sistema, WLAN klijent ne smije pruiti svoje isprave Access Pointu prilikom autentifikacije. Bilo koji klijent bez obzira na njegov WEP key (klju), moe autentificirati sam sebe sa Access Point-om i onda pokuati pridruiti. Poslije autentifikacije i pridruivanja, WEP se moe
8
koristiti za enkripciju podatkovnih okvira. U ovom trenutku, klijent mora imati pravi klju. Kod Shared Key (kljua) autentifikacije, WEP se koristi za autentifikaciju. Koristi se etverosmjerni challenge-response handshake. I) Klijentska postaja alje autentifikacijski zahtjev prema Access Point. II) Access Point alje natrag clear-text challenge. III) Klijent mora enkriptirati challenge text koristei konfigurirani WEP key (klju) i poslati ga natrag u drugom autentifikacijskom zahtjevu. IV) Access Point dekriptira materijal i usporeuje ga sa clear-text kojeg je poslao. Ovisno o uspjenosti ove usporedbe, Access Point alje natrag pozitivan ili negativan odgovor. Poslije autentifikacije i pridruivanja, WEP se moe koristiti za enkripciju podatkovnih okvira. Na prvi pogled se ini da Shared Key (klju) autentifikacija je vie sigurna nego Open System autentifikacija. No ipak je obrnuto. Mogue je stvoriti static WEP key (klju) hvaanjem etiri handshake okvira u Shared Key (klju) autentifikaciji. Preporuljivo je koristiti Open System autentifikaciju za WEP autentifikaciju. Ali obe autentifikacije su vrlo slabe.
Remedies
Koritenje enkriptiranog tunelskog protokola ( IPSec, Secure Shell) moe pruiti siguran prijenos podataka preko nesigurne mree. No, zamjene za WEP su prvotno razvijane sa ciljem kako bi se povratila sigurnost same beine mree.
Poboljanje WEP-a je bilo predstavljeno u ranim verzijama 802.11i standarda, koji se mogao implementirati na neke (ne sve) hardvere koji nisu mogli rukovati sa WPA ili WPA2, a bazirao se na:
Kada je postalo jasno da WEP algoritam je pun mana (ne samo key (klju) veliina), ovo je izbaeno iz standarda.
WEPplus
Jo znan kao WEP+. Dodatno poboljanje WEP-a od Agere Systems (bive podrunice od Lucent Technologies). To poboljava WEP sigurnost izbjegavajui "slabe IV". Efektivan je jedino kada se WEPplus koristi na oba dvije strane beine konekcije. Kako ovo nije lako ostvarivo, postaje ozbiljna limitacija.
Dynamic WEP
Promjena WEP key (klju) dinamino. Tu mogunost pruaju samo pojedini vendori kao to su 3Com. Dinamina promjena je implementirana u 802.11i kao dio TKIP, ali i ne stvarnog WEP algoritma.
10
Problem : korisniko ime i lozinka su namijenjeni da vam omogue pristup vaem Wlan setup-u i da osobne informacije koje ste unijeli. Ali injenica ostaje da loginovi koji su vam prueni su uobiajeno dani bilo kome sa istim modelom routera i zbog toga veina ljudi ih nikada ne mijenja. Tako postaju laka meta za hakere i one koji kradu identitete. Ustvari, postoje stranice koje sadrze liste default korisnikih imena i lozinaka za wireless routere, te tako omoguavajui hakerima jo laki posao.
Rjeenje: Promijenite korisniko ime i lozinku za vau beine postavke odmah nakon vaeg prvog logina. Ako ve postavljate drugu lozinku, potrudite se da ju je teko pogoditi. Vae ime, prezime, datum roenja, godinjica, ime vaeg djeteta, ime kunog ljubimca i slino e biti za hakera prvi pokuaji za probijanje vae sigurnosti. Mnogi hakeri koriste metodu za probijanje ifri koja se zove dictionary hacking. To je u biti program koji koristi najkoritenije rijei iz jezika kao lozinke. Zato se potrudite da lozinka nije uobiajena rije, nego da bude kombinacija slova, brojeva i znakova.
Sada ete morati podesiti svoj router preko njegove administratorske stranice . Kada se logirate, promijenite sigurnosne postavke na WPA2 Personal i odaberite algoritam TKIP+AES. Naposlijetku, unesite lozinku u Shared Key (klju) polje i pohranite svoje promjene.
Rjeenje: Promijenite default SSID kada konfigurirate va LAN. Ovo nee u potpunosti zatiti vau mreu, ali e vas razlikovati od drugih nezatienih mrea i obeshrabriti hakere da se namjere na vas. Takoer se neete zabuniti pri konekciji na mreu i sluajno se spojiti na susjedovu mreu istog naziva.
se "physical address" ili "MAC address." Va Wifi sistem automatski biljei MAC adrese za sve ureaje koji se spajaju na njega.
Problem: Niste sigurni tko pristupa vaoj wifi mrei i kada saznate da se netko spaja na vau mreu, elite ga sprijeiti, zar ne? Ali kako?
Rjeenje: Provjera MAC adresa dati e vam brz pogled na ureaje koji se spajaju na vau wifi mreu. Sve to nije vae e te htjeti zabraniti pristup. Da to napravite, morati ete manualno unesti kod MAC adrese vae kune opreme. Tako e mrea dozvoliti pristup samo navedenim MAC adresama vaih ureaja. Pa e na taj nain vai pohlepni susjedi ostati bez besplatnog interneta. Ova solucija nije najbolje rjeenje ali e definitivno zaustaviti vaeg susjeda i hakera amatera. Profesionalni hakeri koriste napredne softverske programe da lairaju MAC adresu.
Problem: Zato raditi broadcast cijelom susjedstvu da imate beinu mreu? To ve vi znate, a zato bi to trebali znati i stranci? Za veinu osobnih korisnika, bolje je bez ove opcije zato to poveava vjerojatnost neeljenog upada susjeda ili hakera da se ulogira na vau kunu mreu. Broadcast je kao pozivnica hakerima koji trae priliku.
Rjeenje: 13
Veina wifi access pointova dozvoljava SSID broadcast opciju da bude iskljuena od strane mrenog administratora. Veina tutoriala kako iskljuiti va broadcast moete nai na web stranicama proizvoaa vaeg routera.
Rjeenje: Nemojte odabrati navedene opcije. Ili ako su ve odabrane neka va router ili access point bude podeen nekim unikatnim imenom, a ne defaultnim kako je objanjeno u primjeru prije.
Problem: 14
Router dolazi sa ugraenom opcijom firewall-a na samom routeru. Ali neiskusni korisnici ga mogu sluajno iskljuiti pri podeavanju.
Rjeenje: Osigurajte se da je opcija firewall na routeru ukljuena, zajedno sa ugraenom sigurnosnom funkcijom koja blokira anonimne internet zahtjeve ili ping-ove. Ovaj dodatni korak e pomoi sakrivanju vae mree prema internetu i na taj nain pomoi u osiguravanju vae mree. Uostalom tee je hakeru infiltrirati u ono to nemoe nai.
Rjeenje: Ako jo niste instalirali svoju beinu kunu mreu, budite sigurni da pozicija vaeg routera ili access pointa se nalazi u centru vaeg doma, a ne u blizini prozora. Ako ivite u stanu , uzmite u obzir da wifi mrea je ograniena preprekama i materijalima kroz koje mora proi. Vie zidova, vrata i metala kroz koje signal prolazi gubi na svojoj jaini. Ako je vaa namjera da ograniite signal samo na va dom iili posjed uzmite u obzir da montirate va wifi u ormar kako bi smanjili intenzitet signala.
Problem: Odluka izmeu praktinog i stalnog ukljuivanja i iskljuivanja vae wifi konekcije uvijek zavri na strani praktinog. 15
Rjeenje: Kao to uzimate dodatne sigurnosne mjere kad idete npr. na ljetovanje, odmor , pa zamolite susjeda da vam zalije cvijee i pripazi na kuu ili stan, tako i primijenite dodatne sigurnosne mjere koje se odnose na vau beinu mreu ako je neete koristiti dui period vremena. Gaenje mree je osnovna ali i efektivna sigurnosna mjera koja moe zatiti vau mreu dok niste u blizini da ju sami zatitite. A i hakeri mogu iskoristiti ovu mogunost ugnijezde svoj napad.
Sada kada ste napravili sve ove promjene na vaoj beinoj mrei, bilo bi dobro da znate da li to sve funkcionira. Na nesreu, jedini sigurni test jest da ekate i vidite da li ete biti hakirani. Ali to definitivno nije najbolja odluka da testirate vau sigurnost. Postoji nekoliko programa za testiranje sigurnosti vae mree.
Problem: Prosjeni kuni wifi korisnik nema dovoljno znanja o hakiranju da bi stavio svoju mreu na test kako bi saznao da su promjene koje je napravio uistinu funkcioniraju.
Rjeenje: Netstumbler program. Ovaj program e odrediti sve ranjivosti vae beine mree i neovlatene access pointove. Kao dodatak ova aplikacija e takoer otkriti izvore koji ometaju vau mreu kao i jakost vaeg signala. Tako da moete poboljati jakost vaeg wifi signala. Netstumbler je besplatan download http://www.pcworld.com/downloads/file/fid,23439-order,1-page,1c,alldownloads/description.html?findid=51212# Makar ako se program pokae korisniku, moe donirati autoru kako bi podrao njegov rad.
16
Zavrna rije:
Ovaj seminar bi trebao pomoi pri osnovnom osiguravanju vae beine mree od veine napada. Izostavio sam jo nekoliko efektivnih mjera poput: limitiranje intranetwork file sharing, mjenjanje default IP adrese vaeg beinog routera, dodjeljivanje statine IP adrese za svaki od vaih osobnih raunala, iskljuivanje DMZ i remote managment mogunosti.
17